딥보이스 피싱 (목소리복제, 가족암호, 보이스피싱)
얼마 전 어머니에게 제 이름을 정확히 언급한 문자가 날아왔습니다. "엄마, 나 돈 좀 보내줘"라는 내용이었는데, 어머니는 평소 제가 "엄니"라고 쓴다는 걸 알고 계셔서 바로 이상함을 눈치채셨습니다. 그때 드는 생각이 하나였습니다. 도대체 이 사람들은 제 이름을 어떻게 알았을까? AI를 이용한 보이스피싱이 이렇게까지 정교해졌다는 사실이 소름 돋을 정도였습니다.
모르는 번호에서 전화가 왔을 때, 혹시 이런 경험 있으신가요?
모르는 번호로 전화가 걸려왔는데, 수화기를 들고 "여보세요"라고 했더니 상대방이 아무 말 없이 바로 끊어버린 경험이 있으신가요? 장난 전화도 아니고, 스팸도 아닌, 그냥 목소리만 듣고 끊는 이상한 전화입니다.
이런 전화가 최근 부쩍 늘고 있습니다. 한 번만 걸려오는 게 아니라, 비슷한 번호로 두세 번씩 반복되기도 합니다. 제가 아는 분 중에서도 02로 시작하는 번호로 두 차례 이런 전화를 받으셨는데, 첫 번째는 "여보세요" 하자마자 끊겼고, 두 번째는 아무 말도 안 했더니 상대방도 한동안 침묵하다 그냥 끊었다고 합니다. 두 통 모두 끝자리만 다른 같은 발신처로 추정됐습니다.
이게 단순히 불쾌한 경험에서 끝나는 게 아닌 이유가 있습니다. 이 전화들은 목소리를 수집하려는 목적일 가능성이 높습니다. 이른바 보이스 클로닝(Voice Cloning), 즉 AI 기술로 특정인의 목소리를 디지털로 복제하는 기술을 악용한 범죄의 첫 단계일 수 있습니다.
목소리복제 기술이 실제로 이만큼 발전했습니다
딥보이스(Deepvoice)란 딥러닝(Deep Learning) 기반의 AI 기술을 이용해 실존하는 사람의 목소리를 그대로 복제하는 기술을 의미합니다. 여기서 딥러닝이란 인간의 신경망 구조를 모방해 대량의 데이터를 스스로 학습하는 인공지능 방식으로, 목소리의 음색·억양·호흡 패턴까지 통째로 학습합니다.
마이크로소프트가 개발한 음성 합성 기술 '반리(VALL-E)'는 단 3초 분량의 음성 샘플만으로도 특정인의 목소리를 재현할 수 있는 것으로 알려져 있습니다. "여보세요" 한 마디로 완벽한 복제는 어렵다는 의견도 있지만, 말이 길어질수록 정교도가 높아진다는 건 전문가들도 인정하는 부분입니다.
실제로 충남 당진에서 70대 임씨는 딸 번호로 걸려온 전화에서 납치당했다며 울먹이는 딸의 목소리를 듣고 500만 원을 인출해 서울까지 달려갔습니다. 그러나 딸은 그런 전화를 건 적이 없었습니다. 전화 속 목소리는 AI 음성 합성으로 만든 가짜였습니다. 제가 어머니께 이 얘기를 드렸을 때, 어머니도 "그 정도면 나도 속겠다"고 하셨습니다. 그 말이 오래 머릿속에 남았습니다.
딥페이크(Deepfake)라는 개념도 함께 알아두셔야 합니다. 딥페이크란 딥러닝 기술로 얼굴·표정·입 모양까지 위조한 가짜 영상을 만드는 기술입니다. 목소리만이 아니라 영상 속 얼굴까지 조작되는 시대인 만큼, 전화 한 통의 목소리를 함부로 흘려보내는 건 생각보다 훨씬 위험한 일입니다.
딥보이스 피싱에 활용되는 주요 사기 시나리오를 정리하면 다음과 같습니다.
- 자녀 목소리로 납치·사고를 가장해 부모에게 급전 요구
- 부모 목소리로 자녀에게 계좌 이체 요청
- SNS 영상 속 목소리를 수집해 정교한 사칭 통화 제작
- 짧은 전화로 목소리 샘플을 확보한 뒤 추후 범행에 활용
가족암호, 유치하다고 생각하셨다면 다시 보셔야 합니다
이쯤 되면 이런 질문이 생기실 겁니다. 전화 속 목소리가 완벽하게 가족처럼 들린다면, 도대체 어떻게 구분하라는 걸까요?
가장 실질적인 방법은 가족 간 사전 암호(Verification Code)를 설정하는 것입니다. 여기서 사전 암호란 돈 요구 등 비정상적인 상황에서 상대방이 진짜 가족인지 확인하기 위해 미리 약속해둔 질문과 답변 세트를 의미합니다. 다소 유치하게 느껴질 수 있지만, 목소리가 아무리 똑같아도 암호를 모르면 답하지 못한다는 점에서 현재로선 가장 확실한 방어 수단입니다.
이미 비슷한 전화를 받아버렸다면, 사전 암호 대신 개인 기억 기반 질문을 활용하는 방법이 있습니다. "저번에 우리 같이 갔던 고깃집 이름이 뭐야?", "초등학교 때 키웠던 강아지 이름 기억해?" 같이 범죄자들이 절대 알 수 없는 기억을 꺼내는 방식입니다. 제가 어머니와 이미 암호 비슷한 걸 정해뒀는데, 그게 실제로 어머니가 이상한 문자를 바로 걸러내신 이유 중 하나라고 생각합니다.
경찰청 사이버수사국에 따르면, 2023년 한 해 동안 접수된 보이스피싱 피해 건수는 1만 8천여 건에 달하며, 피해 금액은 약 4천억 원에 이릅니다(출처: 경찰청). 특히 피해자의 절반 이상이 50대 이상 시니어 계층으로, 이 연령대가 얼마나 집중적으로 타깃이 되고 있는지 알 수 있습니다.
범죄는 날마다 진화하는데, 정보는 왜 제자리일까요
솔직히 이 부분이 제일 답답합니다. 범죄 수법은 AI 기술과 함께 날마다 고도화되고 있는데, 정작 시니어 분들이 접할 수 있는 예방 정보는 몇 년 전과 크게 다르지 않습니다. "모르는 전화 조심하세요"가 전부인 경우가 많습니다.
어머니가 저한테 직접 전화로 확인하신 게 다행이었지만, 만약 그 순간 망설이셨다면 어떻게 됐을까 싶습니다. 개인정보가 이미 광범위하게 노출된 상황에서, 제 이름과 어머니 번호를 연결해 정확하게 문자를 보낸 것 자체가 이미 상당한 수준의 개인정보 데이터베이스가 범죄 조직 손에 들어가 있다는 뜻입니다.
과학기술정보통신부에 따르면, 개인정보 침해 신고 건수는 2022년 기준 16만 건을 넘어섰으며, 수집된 개인정보가 보이스피싱·스미싱 등 2차 범죄에 활용되는 사례가 증가하고 있습니다(출처: 과학기술정보통신부). 제가 직접 경험한 그 문자도, 결국 어딘가에서 새나간 개인정보가 만든 결과물이었을 겁니다.
스미싱(Smishing)이라는 개념도 함께 짚고 넘어가야 합니다. 스미싱이란 SMS와 피싱(Phishing)의 합성어로, 문자 메시지를 통해 악성 링크를 클릭하게 유도하거나 개인정보 입력을 유도하는 사기 방식입니다. 어머니께 왔던 문자도 넓은 의미에서 스미싱의 변형된 형태였습니다. 링크 없이 감정만 자극해서 송금을 유도하는 방식이었으니까요.
범죄가 진화하는 속도에 맞게 처벌도 강화되어야 하고, 정보 제공도 훨씬 현실적이고 구체적이어야 한다고 생각합니다. 특히 스마트폰 사용에 익숙하지 않은 부모님 세대를 위한 눈높이 맞춤 교육이 절실합니다.
지금 이 글을 읽고 계신다면, 오늘 부모님께 전화 한 통 드려서 가족 암호 하나만 만들어두시길 권합니다. 유치하다는 생각이 드셔도 괜찮습니다. 그게 지금 당장 할 수 있는 가장 현실적인 예방법이고, 자녀의 관심 자체가 이미 든든한 방패가 됩니다. 범죄 앞에서 가장 강한 무기는 기술이 아니라, 서로 확인하는 습관이라는 걸 이번 일로 다시 한번 느꼈습니다.
이 글은 개인적인 경험과 의견을 바탕으로 작성된 것이며, 전문적인 법률 또는 보안 조언이 아닙니다. 실제 피해가 발생한 경우에는 경찰청(112) 또는 금융감독원(1332)에 즉시 신고하시기 바랍니다.